QRadar Community Edition

Presentation on theme: "QRadar Community Edition"— Presentation transcript:

1 QRadar Community Edition
セキュリティー・インテリジェンス営業部 IBM Security

2 はじめに 本資料はQRadar Community Editionを導入される方向けに作成したガイドです。
導入・セットアップ作業の手順につきましては、IBM Developer Worksサイトにアップロードされている「Community Edition」　 Documentをご参照ください。

3 導入条件 QRadar Community Editionの導入条件として、以下環境、スペックが必要となります。 インターネット接続環境
QRadar Community Editionのインストーラーは、導入に必要なライブラリをInternetから自動ダウンロードします。 オフラインによるインストールはサポートされておりません。 仮想マシンスペック 2コアCPU以上 4GBメモリー 以上 （※QRadar App等を用いる場合は要・追加メモリー） HDD 80GB以上 （※QRadar App等を用いる場合は130GB以上を推奨） 固定IPアドレス QRadarは動的IPアドレス（DHCP)には対応しておりません。 QRadar Community Edition用の固定IPアドレス、仮想環境のネットワーク定義を事前にご用意ください。 その他 Selinuxには未対応（インストール前にdisableに設定変更が必要） Firewalldは事前に停止が必要（CentOS minimal installでも導入されるため注意） QRadar Community Editionのインストールは、環境にも依存しますが約6時間程度の時間がかかります。 以下のタイミングで、仮想マシンのスナップショットを保存することを推奨いたします。 CentOS導入直後（QRadar CE導入前） QRadar パラメータ設定画面（QRadarライブラリ導入後）

4 事前準備 QRadar Community Editionを導入する環境として、以下を推奨いたします。 インストール手順につきまして
仮想化ツール Vmware Player (Windows環境) / Fusion (Mac環境　※有償） VirtualBox ( OS RedHat Enterprise Linux 7 (RHEL) CentOS7 ( インストール手順につきまして VirtualBox導入(本ガイドでは省略） CentOS7導入 QRadar Community Editionインストール [オプション] DSM（Device Support Module)の導入

5 1-1. VirtualBox / 仮想マシンの作成
タイプ：Linux, バージョン：Red Hat (64bit)を選択

6 1-2. VirtualBox / 仮想マシンの作成(メモリー割当）
仮想マシン（QRadar Community Edition)に割り当てるメモリーを設定します。 最小スペック要件は4GB (4096MB)以上となります。 快適な環境を望む場合は、5GB以上を推奨致します。 4GB以上を選択

7 1-3. VirtualBox / 仮想マシンの作成(ストレージ設定）
仮想HDDを作成 80GB以上で設定 (Appを導入する場合は130GB以上） VDIを選択 （任意）

8 1-4. VirtualBox / 仮想マシンの設定
仮想マシンの確認 仮想マシンの起動前に、システム（メモ リー/HDD/vCPU）などの諸設定を確認 ください。 設定が確認できれば、Linux OS (CentOS or RHEL）の導入を行います。

9 CentOS/RHELのイメージisoを選択
仮想マシンを起動します。 仮想マシン用の起動ディスクを指定することができますので、事前にダウンロードしたCentOSを指定します。 CentOSのインストーラーが起動しますので、「Install CentOS Linux 7」を選択して起動します。 CentOS/RHELのイメージisoを選択 (minimal isoでもOK)

10 2-2: CentOSのインストール / 言語設定（英語必須！）
CentOS Linuxのインストーラーの言語は「English」を選択します。 QRadar CEは日本語OSに対応しておりません！! ※インストーラーで、言語がEnglishのみセットアップされる仕様となっているため。要注意

11 2-3 : CentOSのインストール / インストールサマリー
導入に必要なパラメータを設定します。 項目 内容 DATE & TIME 時刻&タイムゾーン設定 KEYBOARD キーボード設定（英語） LANGUAGE SUPPORT 言語設定（英語） INSTALLATION SOURCE インストールメディアの指定（ダウンロードしたCent OS ISO) SOFTWARE SELECTION Linux導入のレベル。 本ガイドでは最小構成を目指して“Minimal Install”を設定しています。 INSTALLATION DESTINATION インストール先のパーティション設定 KDUMP Kdump設定（デフォルト） NETWORK & HOST NAME ネットワーク設定 SECURITY POLICY ポリシー設定（デフォルト）

12 2-4 : CentOSのインストール / 時刻設定
タイムゾーンおよび時刻設定を行います。 必要に応じてNTP設定を行ってください。 Timezoneの設定

13 2-5 : CentOSのインストール / ネットワーク定義
ネットワーク設定＆ホスト名定義 OSに割り当てるEthernetインターフェースを設定し ます。 デフォルトが「無効」となっているため、有効にしてくだ さい。 VirtualBox環境の場合、初期設定ではDHCP環 境にてIP取得ができます。 QRadar Community Edition環境において は、固定IPによる構築が必須となります。 QRadar Community Editionセットアップ前 にIPアドレス環境のパラメータを決めて下さい。 QRadar CE用の 固定IP設定

14 2-5 : CentOSのインストール / ソフトウェア選定
CentOS SOFTWARE SELECTION CentOS導入の必要レベルを定義することができま す。 本導入例では、最小構成での検証・評価環境を 想定し、「Minimal Install」を選択します。 CentOSの最小導入パラメータ（minimal install)

15 2-6 : CentOSのインストール / インストール先設定
INSTALLATION　DESTINATION 導入先のストレージを設定します。 ストレージのパーティションは自動ではなく、手動で設定して 下さい。 QRadar Community Editionの導入条件として、 swap領域を8GB以上で設定する必要があります。 ※本資料はソフトウェアの導入手順例を示したものであり、CentOSの導入サポートをIBM Security部門で行うものではございません。

16 2-6 : CentOSのインストール / インストール先設定（パーティション定義）
パーティション設定（手動を推奨） QRadar CE用に手動でパーティションを設定します。 boot領域は500MB程度のアサインで問題ありません。 swap領域用に最低8GB (8192MB)以上をアサインする 必要があります。 本設定例では、boot領域を1GB(952MB), swap領域 を8GB(8192MB)で設定しています。 ※本資料はソフトウェアの導入手順例を示したものであり、CentOSの導入サポートをIBM Security部門で行うものではございません。

17 2-6 : CentOSのインストール / インストール先設定（パーティション定義）
パーティション設定 設定が終わると変更確認のサマリー画面が表示されます。

18 2-7 : CentOSのインストール / 最終確認
パラメータを全て定義すると「Begin Installtion」のボタンが有効になります。 インストールを実施すると、ROOTアカウント用のパスワード、および追加アカウントを設定する画面が表示されます。 Begin Install

19 2-7 : CentOSのインストール / インストール先設定
パラメータを全て定義すると「Begin Installtion」のボタンが有効になります。 インストールを実施すると、ROOTアカウント用のパスワード、および追加アカウントを設定する画面が表示されます。

20 (補足) VirtualBox / NAT設定
Vmware Player/WorkStationとは異なり、VirtualBoxのVMマシンに接続するためには、NATポート転送の事前設定が必要です。 管理用の接続として、SSHとHTTPSをポート転送するように設定します。 SSH接続 (localhostにport2222で接続) HTTPS接続 (localhostにport8444で接続)

21 (補足) CentOS 7 NetworkManager (nmtui)
GUIベースの設定でネットワーク設定を変更を行えるツールです。 IPアドレスの反映を行うためには、以下コマンドを入力します。 service network restart

22 CentOSチューニング “minimal Install”後の設定項目

23 3-1 : CentOS 追加ライブラリの導入 Cent OS minimal Installは最低限のライブラリ導入となります。
Cent OS 7より、Network Managerでの設定が推奨されており、これまでネットワークコマンドで用いていたツール（ifconfigな ど）がminimal installでは含まれていません。 Linux 6.x系に慣れている方は、お好みで必要なツールをyumコマンドより導入してください。 ~] yum –y install net-tools ライブラリ command ifconfig yum install net-utils nslookup Yum install bind-utils pstree, killall yum install psmisc wget yum install wget bash-completion yum install bash-completion

24 3-2 : QRadar導入用の設定（Selinuxの削除、firewalldの削除）
QRadar Community Edition用の設定 QRadar CE用にSELinuxの無効化、firewalldを無効化します。 #firewalld停止 systemctl stop firewalld SELinuxの削除 firewalldの停止 setenforce 0 getenforceでチェック #firewalld永続化停止 systemctl disable firewalld “SELINUX=disabled” に更新

25 QRadar Community Edition インストール作業

26 はじめに / ISOイメージのコピー QRadar Community Editionのコピー
Developer Worksより QRadar Community Editionの ISOイメージをダウンロードします。 SCP/SFTP等を用いて、ISOをOSにコピーしてください。 QRadar Community EdtionのISOファイルは以下になります。(※2017/10/17時点） QRadarCE7_3_0_ GA.iso セットアップを開始する前に、今一度ご確認ください。 VM環境からInternetへの接続は大丈夫か？ セットアップ時間（約3-4時間）は問題ないか？

27 ISOイメージのマウント ISOイメージがアップロードされていることを確認します。 マウントするディレクトリを作成します。
セットアップを起動します。

28 セットアップ画面 setupインストーラーが起動し、ライセンス同意文書が表示されます。

29 セットアップ画面 インストーラ側でQRadar Community Editionに必要な環境をチェック致します。
QRadar Community Editionに必要なライブラリーをInternet経由で自動ダウンロード/インストールが行われます。

30 セットアップ画面 RPMパッケージのダウンロード/インストールが完了すると、QRadar Community Editionのセットアップ画面が表示されます。 「Software Install」および「QRadar Community Edtion」を選択し、そのまま進みます。

31 セットアップ画面(time/ntp設定)
Type of Setupでは、normalを選択します。 Date/Time Setupで、時刻設定/NTP設定を行います。

32 セットアップ画面(timezone) Timezoneを設定します。

33 セットアップ画面(Network) QRadar管理用のNWインターフェース、プロトコルを定義します。
ここではIPv4を設定、管理インターフェースはOS側で事前定義したインターフェース（固定）を選択します。

34 セットアップ画面(IPアドレス/QRadarパスワード）
QRadar Community Editionに割り振るIPアドレス、Admin権限のパスワードを設定します。

35 動作確認：httpsでQRadar Community Editionに接続

36 QRadar Community Edition (Option) DSM追加導入について

37 QRadar Community Edition / 標準でサポートされるDSM
QRadar Community Editionでは、デフォルトでDSM（Device Support Module)が導入されますが、非常に限定的なものとなり ます。このため、評価・検証に必要なログ・ソースを考慮し、ISOイメージに同梱されるDSMを追加でインストールする必要があります。 DSM-AssetProfiler DSM-SymantecEndpointProtection DSM-BluecoatProxySG DSM-IBMCustomDSM DSM-IBMHealthMetrics DSM-IBMSense DSM-GNULinuxServer DSM-OracleDbAudit DSM-PaloAltoPaSeries DSM-SourceFireSnort DSM-SIMNotification DSM-SIMAudit DSM-SearchResults DSM-STEALTHbitsStealthINTERCEPT DSM-IBMHealthMetrics DSM-SIMGenericLog DSM-UniversalCEF DSM-UniversalLEEF DSM-SIMUniversal DSM-McAfeeIntrushield PROTOCOL-IBMSIMJDBC PROTOCOL-JDBC PROTOCOL-LEA PROTOCOL-LogFileProtocol PROTOCOL-JdbcSophos PROTOCOL-TCPSyslog

38 QRadar Community Edition / DSMの追加方法
ISOイメージをマウントします。 mount -o loop /tmp/<qradar_community_edition.iso> /media/cdrom “/media/cdrom/post/dsmrpms” ディレクトリーに移ります。 cd /media/cdrom/post/dsmrpms 必要なDSMを確認し、yumコマンドでRPMをインストールします。 yum -y install <rpm_filename> DSMはISOイメージに同梱されていますが、別途インストールが必要です。

39